Що таке Solidity? Мова програмування смарт-контрактів
Один необережний рядок коду Solidity одного разу передав зловмиснику 3,6 мільйона ETH. Код виконав саме те, що йому сказали. Це найтривожніша частина. Solidity переміщує гроші. Його вихідний код зазвичай знаходиться на видноті. І як тільки контракт запущено, немає жодного тихого патчу — помилка залишається, кошти залишаються відкритими, і весь світ може читати і те, й інше. Це домінуюча мова програмування для написання смарт-контрактів на Ethereum та кожному блокчейні EVM поруч із ним. Відкиньте жаргон, і під більшістю DeFi та NFT стоїть Solidity. Потужна. Також безжалісна. Ось що це таке, як насправді працює код, як виглядає перший контракт і чому безпека ніколи не залишає місця.
Що таке Solidity як мова програмування
У кожному посібнику написано одне й те саме: Solidity — це мова високого рівня для смарт-контрактів. Гаразд. Це вам навряд чи допоможе. Але що це за мова? Статично типізована. Об'єктно-орієнтована. Фігурні дужки та крапка з комою, синтаксис запозичений з JavaScript, C++ та Python. Якщо ви доставляли код на будь-якій з цих мов, файл `.sol` читається знайомим приблизно за десять хвилин.
Гевін Вуд намалював його у 2014 році за допомогою невеликої команди Ethereum, до складу якої входив Крістіан Райтвіснер. Мета була простою: дозволити людям писати смарт-контракти для публічного блокчейну. Його основною одиницею є «контракт». Уявіть собі його як «клас», який випадково знаходиться в ланцюжку — він зберігає стан, надає функції, успадковує від інших. Фішка в тому, де все працює. Скомпілюйте його в байт-код, і той самий контракт виконується однаково на кожному вузлі децентралізованої мережі, всі вони перевіряють один одного. Ця єдина вимога пояснює, чому Solidity здається таким замкнутим.
| Міцність з першого погляду | |
|---|---|
| Вперше випущено | 2014 рік |
| Провідний дизайнер | Гевін Вуд (Етереум) |
| Парадигма | Об'єктно-орієнтований, контрактно-орієнтований |
| Введення тексту | Статичний |
| Компілюється до | Байт-код EVM |
| Найновіший компілятор | v0.8.35 (квітень 2026 р.) |
| Розширення файлу | .sol |
Як працює Solidity: від коду до EVM
Цікава частина Solidity — це не синтаксис. Цікава частина конвеєра. Читабельний код стає чимось, що тисячі машин погоджуються виконувати однаково. Детермінізм — ось у чому вся суть. Якби два вузли виконували один і той самий контракт і отримували різні відповіді, мережа не могла б домовитися про баланс. Ця єдина вимога пояснює багато дивних обмежень мови: заборонено отримувати випадкове число, заборонено викликати зовнішній веб-API під час виконання. Все має бути відтворюваним із самого ланцюга.
Компілятор і байт-код
Ви пишете файл `.sol`, зрозумілий для людини та високого рівня. Компілятор Solidity, `solc`, перетворює його на EVM байт-код, довгий рядок низькорівневих операцій, плюс ABI, який перераховує функції контракту. Байт-код - це те, що потрапляє в ланцюжок. Ніхто не читає його вручну. Це машинна ціль, так само, як C перетворюється на асемблер.
EVM та газ
Віртуальна машина Ethereum запускає цей байт-код. Кожен вузол Ethereum має його. Кожна операція, яку вона виконує, коштує газу, комісії, що сплачується в ETH. Газ — це не другорядна деталь. Це те, як мережа оцінює обчислення та захищається: циклічний втеча не заморожує ланцюжок — він просто спалює газ відправника та повертається до попереднього стану. Good Solidity підтримує низький рівень газу.
АБІ
ABI, або бінарний інтерфейс програми (Application Binary Interface), — це JSON-карта того, як взаємодіяти з розгорнутим контрактом. Гаманець, такий як MetaMask, або фронтендний dApp використовує його для кодування виклику функції у формат, який очікує EVM, а потім декодує те, що повертається. Уявіть собі ABI як місток між інтерфейсом, який бачить користувач, та контрактом, що знаходиться за адресою в блокчейні.
Написання вашого першого смарт-контракту Solidity
Досить теорії. Найшвидший спосіб зрозуміти Solidity — це прочитати невеликий контракт і розпізнати його частини.
Анатомія контракту
```міцність
// SPDX-License-Identifier: MIT
прагматична стійкість ^0.8.20;
Лічильник контракту {
uint256 public count;
event Incremented(uint256 newCount);
function increment() public {
count += 1;
emit Incremented(count);
}
}
```
Кілька фрагментів містять усі елементи. Рядок `pragma` закріплює версію компілятора, тому несумісний реліз не може непомітно перекомпілювати ваш код. `contract Counter` відкриває контракт, як відкриття класу. `count` — це змінна стану, яка зберігається в ланцюжку постійно. `increment()` — це публічна функція, яку може викликати будь-хто. `event Incremented` реєструє кожну зміну, щоб позаланцюгові програми могли реагувати. Об'єктно-орієнтований код з блокчейном під ним.
Інструменти, які ви насправді використовуєте
Ви нічого не встановлюєте для початку. Remix — це браузерне IDE: пишіть, компілюйте та розгортайте Solidity за кілька кліків, що робить його стандартним місцем для вивчення Solidity. Реальні проекти переносяться на локальні фреймворки. Hardhat та Foundry належним чином обробляють компіляцію, тестування та розгортання. І майже всі покладаються на OpenZeppelin, бібліотеку перевірених, повторно використовуваних контрактів для токенів та контролю доступу, замість того, щоб винаходити ризикований код з нуля.
Від коду до живої адреси
Розгортання означає надсилання скомпільованого байт-коду в транзакції. Спочатку протестуйте у безкоштовній тестовій мережі. Sepolia — звичайний вибір у 2026. Підключіть гаманець, такий як MetaMask. Надсилайте в основну мережу лише тоді, коли контракт поводиться належним чином. Розгортання також коштує бензину, оплачується реальним ETH. А ось рядок, який варто витатуювати на зап'ясті: після розгортання код незмінний. Ви не можете редагувати активний контракт. Саме цей факт — більше, ніж будь-яка синтаксична особливість — є причиною існування наступного розділу.
Які блокчейни підтримують Solidity
Solidity перестала бути «мовою Ethereum» багато років тому. Так багато мереж прийняли EVM для повторного використання інструментів Ethereum, що Solidity стала спільною мовою цілої родини блокчейнів. ChainList відстежує понад 385 EVM-сумісних блокчейнів у 2026. Усі великі імена відповідають вимогам: Polygon, BNB Chain, Arbitrum , Base та Avalanche, всі вони використовують той самий байт-код, у який компілюється ваш файл `.sol`.
Ethereum все ще залишається центром тяжіння. За даними DeFiLlama , він зберігає близько 45 мільярдів доларів загальної вартості, що становить понад половину всіх DeFi. І активність зростає: лише в четвертому кварталі 2025 року, за підрахунками Token Terminal, було розгорнуто приблизно 8,7 мільйона нових смарт-контрактів. Для розробника саме цей охоплення є справжньою причиною обрати Solidity замість мови, прикріпленої до одного блокчейна.
Отже, що ж з його допомогою створюється? Майже кожна категорія децентралізованих додатків, про яку ви чули. Протоколи DeFi-кредитування та торгівлі. Контракти ERC-20 лежать в основі більшості токенів, контракти ERC-721 — в основі NFT. DAO кодують свої правила голосування в Solidity. Стейблкоїни керують пропозиціями за його допомогою. Он-чейн-ігри зберігають свою логіку там. Коли проект каже, що він «на Ethereum», хтось майже напевно написав і розгорнув Solidity.
Чому складно захистити смарт-контракти Solidity
Властивості, що роблять Solidity потужним, ті ж самі, що й роблять його помилки такими дорогими. Код містить гроші. Джерело часто є публічним. Його не можна виправити. Зловмисник читає ваш контракт на волі, і кошти одразу ж знаходяться за адресою. Це не мова для швидкої роботи та зламу. Я ніколи не працював із програмним забезпеченням, де розрив між «воно компілюється» та «воно безпечне» настільки великий.
Реентранціність та злом DAO
Типовою вразливістю Solidity є повторний вхід (reentrancy). Контракт надсилає ETH на зовнішню адресу, перш ніж оновити свій внутрішній баланс, а контракт-отримувач знову викликається для виведення коштів, і знову, ще до завершення першого виклику. У червні 2016 року саме ця вада виснажила з The DAO близько 3,6 мільйона ETH, що на той час вартістю становило приблизно 60 мільйонів доларів. Наслідки розділили Ethereum на ETH та Ethereum Classic, ланцюжок, який досі торгується. А виправлення? Майже образливо мале. Спочатку оновіть свій стан, потім надсилайте гроші. Шаблон навіть має назву: перевірки-ефекти-взаємодії.
Переповнення цілих чисел та SafeMath
До Solidity 0.8 арифметичні операції могли непомітно виконуватися. Додайте 1 до максимального значення `uint256`, і воно перетворювалося на нуль, що зловмисники використовували для створення абсурдних балансів токенів, як-от під час інциденту з BeautyChain (BEC) у 2018 році. Роками розробники захищалися від цього за допомогою бібліотеки під назвою SafeMath, яка деякий час була одним з найчастіше імпортованих файлів у всій Solidity. Потім версія 0.8 вбудувала перевірки на переповнення та недоповнення в саму мову. Найпоширеніша арифметична помилка тепер скасовується за замовчуванням, додаткова бібліотека не потрібна.
Аудити та їхня вартість
Оскільки помилки є постійними, серйозні проекти платять за перевірку. Вони будуються на перевірених компонентах OpenZeppelin, а потім наймають фірми для аудиту всієї системи. Професійний аудит смарт-контракту зазвичай коштує від 25 000 до понад 100 000 доларів США для протоколу DeFi, згідно з ринковими даними Sherlock , а аудит Solidity, як правило, на 25-40 відсотків дешевший, ніж аналогічний аудит Rust, просто тому, що пул талантів більший. Хороші фірми також бронюють місця. Протокол середнього розміру може тижнями чекати на слот, а потім ще тижнями на звіт. Нічого з цього не відбувається швидко, і нічого з цього не є необов'язковим.
| Вразливість | Що йде не так | Відомий випадок | Виправити |
|---|---|---|---|
| Реентрантність | Зовнішній виклик повторно надходить до оновлення стану | ДАО, 2016 | Перевірки-ефекти-взаємодії |
| Переповнення цілого числа | Арифметичні обгортки перевищують свою межу | BeautyChain (BEC), 2018 | Вбудовані перевірки (Solidity 0.8+) |
| Контроль доступу | Будь-хто може викликати привілейовану функцію | Різні | `onlyOwner` / захист ролей |
| Неперевірені зовнішні дзвінки | Невдалий виклик ігнорується, логіка продовжується | Різні | Перевірка повернутих значень |
Гарна новина полягає в тому, що ця різанина зменшується. За даними Immunefi , втрати криптовалют від експлойтів, специфічних для DeFi, впали приблизно до 680 мільйонів доларів у 2025 році, що приблизно на 74 відсотки менше, ніж пік у 2,62 мільярда доларів у 2022 році. Кращі інструменти та перевірки безпеки, вбудовані в компілятор, частково пояснюють це.
Solidity проти інших мов смарт-контрактів
У Solidity є конкуренти. Він навіть не найбезпечніший з них. Vyper мінімальний і схожий на Python, навмисно спрощений, щоб зменшити кількість способів, якими можна збити собі ногу; Curve працює на ньому. Rust є основою контрактів на Solana та NEAR, безпечніших у деяких аспектах, але складніших у вивченні та дорожчих для аудиту. То чому ж Solidity все ж перемагає? Не мовний дизайн. Мережеві ефекти. Найглибший інструментарій, найбільш аудитовані бібліотеки, ціла екосистема EVM-ланцюжків та гаманців — все це вже говорить про Solidity.
| Мова | Ланцюги | Синтаксична база | Найкраще для | Компроміс |
|---|---|---|---|---|
| Міцність | Етереум + усі EVM | JavaScript/C++ | Максимальний охоплення, зрілі інструменти | Легко писати небезпечний код |
| Вайпер | Електронна машина для керування транспортними засобами (EVM) | Пітон | Критично важливі для безпеки, прості контракти | Менше функцій, менша спільнота |
| Іржа | Солана, ПОРУЧ | Іржа | Висока продуктивність, надійна безпека | Крута крива, дорожчі аудити |
Якщо ви хочете постачати товари туди, де вже є користувачі та гроші, Solidity — це прагматичний варіант за замовчуванням, навіть коли конкурент технічно безпечніший.
Чи варто вам вивчати програмування на Solidity в 2026?
Спекулятивний ажіотаж навколо криптовалют охолонув, але попит на людей, які вміють правильно писати Solidity, ні. За підрахунками Electric Capital , Ethereum додав близько 16 181 нового розробника між січнем і вереснем 2025 року, і приблизно 74 відсотки всіх розробників мультичейнів працюють над EVM-чейнами. Саме там знаходиться оплачувана робота та бібліотеки, які можна використовувати повторно.
Розумний шлях до вивчення програмування на Solidity: почніть з Remix, прочитайте офіційну документацію Solidity, а потім опрацюйте контракти OpenZeppelin, щоб побачити, як професіонали структурують токени та контроль доступу. Розгортайте невеликі проекти в тестовій мережі, доки шаблони безпеки не почнуть здаватися автоматичними, а не завченими. Дефіцитною навичкою є не написання Solidity, який компілюється; багато людей можуть це зробити. Розробнику Solidity насправді платять за написання коду, який витримує контакт із супротивником — кимось, хто прочитав ваш контракт і ризикнув грошима.
Чому Solidity залишається мовою за замовчуванням
Надійність є стандартною з конкретної причини, а не через ажіотаж. Вона досягає кожного ланцюжка EVM. Вона має найбагатший інструментарій. Вона лежить в основі більшості DeFi та NFT. Але перше, що потрібно засвоїти, це не синтаксис. Це ось що: у блокчейні розгорнутий код – це закон, а помилки – назавжди. Вивчайте мову та шаблони безпеки разом, тому що тут вони нероздільні. Чесний наступний крок – невеликий і безкоштовний. Відкрийте Remix, напишіть десятирядковий контракт і розгорніть його в тестовій мережі цього тижня.
